计算机病毒是一种恶意软件程序,它被故意编写以在未经所有者许可的情况下访问计算机。这些类型的程序主要是为了窃取或破坏计算机数据而编写的。
大多数系统会由于程序错误、操作系统的漏洞和糟糕的安全实践而感染病毒。据分析和评估防病毒和安全套件软件的独立组织 AV-Test 称,每天检测到大约560,000 个新的恶意软件。
有不同类型的计算机病毒,可以根据它们的来源、传播能力、存储位置、它们感染的文件和破坏性进行分类。让我们深入挖掘,看看这些病毒实际上是如何工作的。
1.引导扇区病毒
示例:Form、Disk Killer、Stone 病毒、Polyboot.B
可以影响:进入主存后的任何文件
引导扇区病毒感染存储设备的主引导记录 (MBR)。任何媒体,无论是否启动,都可能触发此病毒。这些病毒将它们的代码注入到硬盘的分区表中。一旦计算机重新启动,它就会进入主内存。
感染后可能出现的常见问题包括启动问题、系统性能不稳定以及无法定位硬盘。
由于引导扇区病毒可以对引导扇区进行加密,因此可能难以清除。在大多数情况下,用户在使用防病毒程序扫描系统之前甚至都不知道他们已经感染了病毒。
然而,自从软盘的衰落以来,这种病毒已经变得很少见了。现代操作系统带有内置的引导扇区保护,这使得很难找到 MBR。
保护:确保您使用的磁盘是写保护的。不要在连接了未知外部磁盘的情况下启动/重新启动计算机。
2. 直接行动病毒
示例:VCL.428,由病毒构建实验室创建
可能影响:所有 .exe 和 .com 文件扩展名
Direct Action Virus 迅速进入主内存,感染 Autoexec.bat 路径中定义的所有程序/文件/文件夹,然后自我删除。它还可以破坏硬盘驱动器磁盘或连接到计算机的 USB 中的数据。
它们通常在包含它们的文件被执行时传播。只要您不运行或打开该文件,它就不会传播到设备或网络的其他部分。
虽然这些病毒存在于硬盘的根目录中,但它们能够在每次执行时改变位置。在许多情况下,它们不会删除系统文件,而是会降低系统的整体性能。
保护:使用防病毒扫描程序。直接操作病毒很容易被检测到,所有被感染的文件都可以完全恢复。
3.覆盖病毒
示例:Grog.377、Grog.202/456、Way、Loveletter
可以影响:任何文件
覆盖病毒是非常危险的。它们影响了广泛的操作系统,包括 Windows、DOS、Macintosh 和 Linux。他们只是删除数据(部分或全部)并用自己的代码替换原始代码。
它们替换文件内容而不改变其大小。一旦文件被感染,就无法恢复,您最终将丢失所有数据。
此外,这种类型的病毒不仅会使应用程序无法运行,还会在执行时加密和窃取您的数据。
虽然它们非常有效,但攻击者不再使用覆盖病毒。他们往往专注于用真正的特洛伊木马引诱用户并通过电子邮件分发恶意代码。
保护:摆脱这种病毒的唯一方法是删除所有受感染的文件,因此最好保持您的防病毒程序更新,特别是如果您使用的是 Windows。
4. 网页脚本病毒
示例:DDoS、JS.fornight
可能影响:通过在页眉、页脚或根访问文件中注入隐藏代码的任何网页
Web 脚本病毒破坏了 Web 浏览器的安全性,允许攻击者将客户端脚本注入网页。它的传播速度比其他传统病毒快得多。
当它破坏 Web 浏览器的安全性时,它会注入恶意代码来更改某些设置并接管浏览器。通常,它在网页上弹出的受感染广告的帮助下传播。
Web 脚本病毒主要针对社交网站。有些功能强大到足以发送垃圾邮件并发起危险的攻击,例如 DDoS 攻击,使服务器无响应或慢得离谱。
它们可以进一步分为两类:
持久性网络脚本病毒:可以冒充用户并造成大量损害。
非持久性 Web 脚本病毒:攻击用户而不引起注意。它在后台运行,对用户永远隐藏。
保护:在 Windows 使用恶意软件清除工具、禁用脚本、使用 cookie 安全或为 Web 浏览器安装实时保护软件。
5. 导演病毒
示例:Dir-2
可以影响:目录中的整个程序
目录病毒(也称为集群病毒)通过改变 DOS 目录信息来感染文件。它以指向病毒代码而不是原始程序的方式改变 DOS。
更具体地说,该病毒将恶意代码注入到集群中,并将其标记为已在 FAT 中分配。然后它保存第一个簇并使用它来定位与它接下来要感染的文件相关联的其他簇。
当您运行程序时,DOS 会在运行实际程序代码之前加载并执行病毒代码。换句话说,你在不知不觉中运行了病毒程序,而原来的程序之前已经被病毒移动了。被感染后很难找到原始文件。
保护:安装防病毒软件以重新定位错放的文件。
6. 多态病毒
示例:Whale、Simile、SMEG 引擎、UPolyX
可以影响:任何文件
每次感染程序或创建自身副本时,多态病毒都会使用不同的加密密钥对自身进行编码。由于不同的加密密钥,杀毒软件很难找到它们。
这种类型的病毒每次感染设备时都依赖变异引擎来更改其解密程序。它使用复杂的变异引擎,生成数十亿个解密例程,这使得它更难以检测。
换句话说,它是一种加密病毒,旨在避免被扫描程序检测到。
第一个已知的多态病毒(名为“1260”)由 Mark Washburn 于 1990 年创建。它在执行时感染当前或 PATH 目录中的 .com 文件。
保护:安装配备更新安全技术(例如机器学习算法和基于行为的分析)的高级防病毒工具来检测威胁
7. 内存驻留病毒
示例:Randex、Meve、CMJ
可能影响:当前在 PC 上运行的文件以及正在复制或重命名的文件
内存驻留病毒存在于主内存 (RAM) 中,并在您打开计算机时被激活。它会影响当前在桌面上运行的所有文件。
由于病毒将其复制模块加载到主内存中,因此它可以感染文件而无需执行。只要操作系统加载或执行特定功能,它就会自动激活。
有两种类型的内存驻留病毒:
快速感染程序专门用于尽可能快地破坏尽可能多的文件。由于它们的不利影响,它们很容易被注意到。
缓慢的感染者会逐渐降低计算机的性能。它们传播得更广,因为它们可以在更长的时间内不被发现。
保护:强大的杀毒工具可以清除内存中的病毒。它们可能以操作系统补丁或现有防病毒软件更新的形式出现。
如果幸运的话,您的防病毒软件可能有扩展程序或插件,可以将其下载到 USB 闪存驱动器上并运行以从内存中删除病毒。否则,您可能必须重新格式化机器并从可用备份中恢复任何可以恢复的内容。
8.宏病毒
示例:Bablas、Concept 和 Melissa 病毒
可能影响:.mdb、.PPS、.Doc、.XLs 文件
这些病毒使用与流行的软件程序(如 Microsoft Excel 和 Word)相同的宏语言编写。他们在与电子表格、文档和其他数据文件关联的宏中插入恶意代码,导致被感染的程序在打开文档后立即运行。
宏病毒旨在破坏数据、插入文字或图片、移动文本、发送文件、格式化硬盘驱动器或传播更具破坏性的恶意软件。它们通过网络钓鱼电子邮件传输。它们主要针对 MS Excel、Word 和 PowerPoint 文件。
由于这种类型的病毒以应用程序(而不是操作系统)为中心,它可以感染任何运行任何操作系统的计算机,甚至是那些运行 Linux 和 macOS 的计算机。
保护:禁用宏,不要打开未知来源的电子邮件。您还可以安装可以轻松检测宏病毒的现代防病毒软件。
9.伴随病毒
示例:定子、Terrax.1096
可能影响:所有 .exe 文件
伴随病毒在 MS-DOS 时代更为流行。与传统病毒不同,它们不会修改现有文件。相反,它们会创建一个具有不同扩展名(例如 .com)的文件副本,该副本与实际程序并行运行。
例如,如果有一个名为 abc.exe 的文件,该病毒将创建另一个名为 abc.com 的隐藏文件。当系统调用文件“abc”时,.com(更高优先级的扩展名)在 .exe 扩展名之前运行。它可以执行恶意步骤,例如删除原始文件。
在大多数情况下,伴随病毒需要人工干预才能进一步感染机器。不使用 MS-DOS 接口的 Windows XP 出现后表面上看,这种病毒自我传播的方式越来越少。
但是,如果用户无意打开文件,该病毒在最新版本的 Windows 操作系统上仍然有效,尤其是在“显示文件扩展名”选项被停用时。
保护:由于存在额外的 .com 文件,因此可以轻松检测到病毒。安装可靠的防病毒软件,避免下载不请自来的电子邮件附件。
10. 多方病毒
示例:鬼球、入侵者
可能影响:文件和引导扇区
Multipartite 病毒根据操作系统以多种方式感染和传播。它通常留在内存中并感染硬盘。
与影响引导扇区或程序文件的其他病毒不同,多方病毒同时攻击引导扇区和可执行文件,造成更大的破坏。
一旦进入系统,它就会通过更改应用程序的内容来感染所有驱动器。您很快就会注意到用户应用程序的性能滞后和可用的虚拟内存不足。
第一个报道的多部分病毒是“幽灵球”。它于 1989 年被发现,当时互联网仍处于早期阶段。当时它无法覆盖很多用户。然而,从那时起,情况发生了很大变化。全球有超过 46.6 亿活跃的互联网用户,多方病毒对企业和消费者构成了严重威胁。
保护:在存储任何新数据之前清理引导扇区和整个磁盘。不要打开来自不受信任的 Internet 来源的附件并安装合法且受信任的防病毒工具。
11. 脂肪病毒
示例:链接病毒
可以影响:任何文件
FAT代表文件分配表,它是存储磁盘的一部分,用于存储信息,如所有文件的位置、总存储容量、可用空间、已用空间等。
FAT 病毒会更改索引并使计算机无法分配文件。它足够强大,可以强制您格式化整个磁盘。
换句话说,病毒不会修改主机文件。相反,它会强制操作系统执行更改 FAT 文件系统中特定字段的恶意代码。这可以防止您的计算机访问重要文件所在的硬盘驱动器上的特定部分。
随着病毒传播感染,多个文件甚至整个目录可能会被覆盖并永久丢失。
保护:避免从不受信任的来源下载文件,尤其是那些被浏览器或搜索引擎识别为“攻击/不安全站点”的文件。使用强大的防病毒软件。
其他不是病毒但同样危险的恶意软件
12. 特洛伊木马
示例:ProRat、ZeroAccess、Beast、Netbus、Zeus
特洛伊木马(或特洛伊木马)是一种看起来合法的非复制型恶意软件。用户通常会被诱骗在他们的系统上加载和执行它。它可以破坏/修改所有文件、修改注册表或使计算机崩溃。事实上,它可以让黑客远程访问您的 PC。
通常,木马通常通过不同形式的社会工程进行传播。例如,用户被诱骗点击虚假广告或打开伪装成真品的电子邮件附件。
保护:避免打开受攻击的未知文件(尤其是那些扩展名为 .exe、.bat 和 .vbs 的文件)。使用可靠的高端杀毒软件并定期更新
13. 蠕虫
Blaster 蠕虫的十六进制转储,显示为当时的 Microsoft 首席执行官比尔盖茨留下的消息
示例:Code red、ILOVEYOU、Morris、Nimda、Sober、WANK
蠕虫是一种独立的恶意软件程序,它会自我复制以传播到其他计算机。它依赖网络(主要是电子邮件)和安全漏洞从一个系统传播到另一个系统。与病毒不同,它通过复制或发送过多数据(过度使用带宽)使网络过载,迫使主机关闭服务器。
蠕虫能够在没有任何人类交互的情况下自我复制。它甚至不需要附加应用程序即可造成损坏。
大多数蠕虫旨在修改内容、删除文件、耗尽系统资源或将其他恶意代码注入计算机。他们还可以窃取数据并安装后门,使攻击者可以轻松控制机器及其系统设置。
保护:保持您的操作系统更新并确保您使用的是强大的安全软件解决方案。
14. 逻辑炸弹
逻辑炸弹不是病毒,而是像蠕虫和病毒一样具有内在的恶意。它是一段有意插入(隐藏)到软件程序中的代码。当满足特定条件时执行代码。
例如,破解者可以在任何 Web 浏览器扩展程序中插入键盘记录器代码。每次访问登录页面时都会激活该代码。然后它会捕获您的所有击键以窃取您的用户名和密码。
可以插入逻辑炸弹插入现有软件或其他形式的恶意软件,例如蠕虫、病毒或特洛伊木马。然后它们处于休眠状态,直到触发发生,并且可能多年未被发现。
保护:定期扫描所有文件,包括压缩文件,并保持您的防病毒软件更新。
阅读:单点故障 |简单概述
经常问的问题
第一个计算机病毒是什么时候产生的?
第一个计算机病毒(名为 Creeper)是由 BBN Technologies 的 Bob Thomas 于 1971 年编写的。 Creeper 是一个实验性的自我复制程序,没有恶意。它只显示一条简单的消息:“我是爬行者。可以的话就抓住我!”
谁创造了第一个 PC 病毒?
1986 年,Amjad Farooq Alvi 和 Basit Farooq Alvi 编写了一种名为“Brain”的引导扇区病毒,以阻止对他们创建的软件进行未经授权的复制。 “大脑”被认为是 IBM PC 和兼容机的第一个计算机病毒。
第一个专门针对 Microsoft Windows 的病毒是 WinVir。它于 1992 年被发现。该病毒不包含任何 Windows API 调用。相反,它依赖于 DOS API。
有史以来最昂贵的网络攻击是什么?
迄今为止最具破坏性的恶意软件是 MyDoom。它于 2004 年 1 月首次被发现,成为有史以来传播速度最快的电子邮件蠕虫。它创建了允许攻击者访问受感染机器的网络开口。
2004 年,近四分之一的电子邮件被 MyDoom 感染。该病毒造成的估计损失超过 380 亿。
